ITSS如何进行风险评估
1、 (1)基线评估 如果组织的商业运作不是很复杂,并且组织对信蝌怦吩曰息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标骠雪餐豺准化的模式,极限风险评估就可以直接而简单的实现基本的安全水平,并且满足组织及其商业环境的所有要求。采用极限风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的安全差距),是在诸多标准范围中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线:国际标准和国家标准,如BS 7799-1 ISO13335-4;行业标准或推荐,如德国联邦安全局IT基线保护手册;来自其他有类似商务目标和规模的组织的惯例。 当然,如果环境和商务目标比较典型,组织也可以自行建立基线。 基线评估的优点是需要的资源少、周期短、操作简单。对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。当然基线评估也有难以避免的确定,如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度;如果过低,可能难以达到充分的安全;此外,在管理安全相关的变化方面,基线评估比较困难。 基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合,可以在全组织范围内实行。如果有特殊需要,应该在此基础上对特定系统进行更详细的评估。
2、 (2)详细评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。 详细评估的有点在于: 组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求。 详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
3、 (3)组合评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估。详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。在实践中,组织多采用二者结合的组合评估方式。 为了决定选择那种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。 这些评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有确定:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。
4、 2、风险评估的常用方法 在风险评估过程中,可以采用多种操作方法,如基于知识的分析方法、基于模型的分析方法、定性分析和定量分析。无论采用何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。 在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。 基于知识的分析方法又称为经验方法,涉及对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全企业。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。